Fedora資料一覧

LDAPクライアントの設定

2008/4/24更新

対応バージョン: 8

FedoraをLDAPクライアントとして使用する、つまりログインデータベースとして通常の/etc/passwdなどに加えてLDAPサーバを使用する場合、以下の設定を行う。

設定

LDAP有効化

# authconfig --enableldap --update

→ nss_ldapがenableになる。

LDAP認証有効化

# authconfig --enableldapauth --update

→ pam_ldapがenableになる。

LDAPサーバ設定

# authconfig --ldapserver=<デフォルトのLDAPサーバ> --update

→ LDAP serverにLDAPサーバのURLがセットされる。

例)

# authconfig --ldapserver="ldap://127.0.0.1/" --update

LDAPベースDN設定

# authconfig --ldapbasedn=<デフォルトのLDAPベースDN> --update

→ LDAP base DNにLDAPのベースDNがセットされる。

例)

# authconfig --ldapbasedn="dc=example,dc=com" --update

LDAPとTLSの併用を有効にする

「Start TLS拡張機能」を有効にする場合は設定する。

# authconfig --enableldaptls --update

→ LDAP+TLSがenableになる。

確認

全ての設定内容は「authconfig --test」にて確認できる。以下は上記の設定を全て適用した場合の例である(LDAP関連設定のみ抜粋)。

# authconfig --test
:
nss_ldap is enabled
 LDAP+TLS is enabled
 LDAP server = "<LDAPサーバのURI>"
 LDAP base DN = "<LDAPベースDN>"
:
pam_ldap is enabled
 LDAP+TLS is enabled
 LDAP server = "<LDAPサーバのURI>"
 LDAP base DN = "<LDAPベースDN>"
:

また、各設定ファイルのエントリにldapが追加される。

/etc/nsswitch.conf

(変更前)

passwd:  files
shadow:  files
group:   files
:
netgroup:   nisplus
:
automount:  files nisplus

(変更後)

passwd:  files ldap
shadow:  files ldap
group:   files ldap
:
netgroup:   files ldap
:
automount:  files ldap

/etc/pam.d/system-auth-ac

(以下の行が追加される)

auth      sufficient  pam_ldap.so use_first_pass

account   [default=bad success=ok user_unknown=ignore] pam_ldap.so

password  sufficient  pam_ldap.so use_authtok

session   optional    pam_ldap.so

/etc/ldap.conf

(変更前)

:
#host 127.0.0.1
:
base dc=example,dc=com
:
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd
:

(変更後)

:
host <LDAPサーバ>
:
base <LDAPベースDN>
:
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon
:
uri <LDAPサーバのURI>
ssl start_tls
tls_cacertdir /etc/openldap/cacerts
pam_password md5

/etc/openldap/ldap.conf

(以下の行が追加される)

URI <LDAPサーバのURI>
BASE <LDAPベースDN>
TLS_CACERTDIR /etc/openldap/cacerts

(*) 別途OpenLDAPをインストールした場合、ldap.confは/usr/local/etc/openldap配下のものを使用するので上記ファイルを同ディレクトリにコピーする必要がある。

関連資料・記事